Kyberrikollisuus : deepfake-huijaukset ja massarikollisuus
Rintala, Sami (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024102526832
https://urn.fi/URN:NBN:fi:amk-2024102526832
Tiivistelmä
Opinnäytetyön tarkoitus oli selvittää, minkälainen on kyberrikollisuuden ja erityisesti deepfake-huijausten tilanne vuonna 2024 sekä miten ne näyttäytyvät massarikollisuuden yhtenä ilmentymänä. Työn tarkoitus oli selvittää suojautumis- ja puolustautumiskeinoja yleisesti kyberrikoksia sekä erityisesti deepfake-huijauksia vastaan. Työssä arvioitiin miten hyvin yritykset ovat varautuneet kyberrikosten torjuntaan sekä miten Euroopan tasoinen NIS 2 -direktiivi ja ISO 27001 -standardi antavat yrityksille linjauksia deepfakeja vastaan. Työssä tutkittiin, miten helppoa on oman deepfaken tekeminen ja kuinka helppo sellainen on tunnistaa tekoälyn tekemäksi. Toimeksiantaja työlle oli Suomen Kyberturvallisuuskeskus.
Opinnäytetyön tietopohja koostuu kyberrikollisuuden historiasta, eri kyberrikollisuuden keskeisimmistä rikostyypeistä ja deepfakejen luomiseen ja suojautumiseen käytetyistä teknologioista. Valittu menetelmä on tutkimuksellinen ja työ pitää sisällään myös suppean toiminnallisen osuuden. Toiminallisen osuuden testiosuudet kerättiin empiirisen tutkimuksen avulla, jossa testattavat henkilöt pyrkivät tunnistamaan aidot mediat deepfakeista. Tämä kerätty aineisto analysoitiin käyttämällä tilastollisen analysoinnin perusmenetelmiä. Toinen toiminallinen osuus työssä koostuu Kyberturvallisuuskeskuksen asiantuntijoiden haastattelusta.
Empiirisen kokeen tuloksena havaittiin pieniä eroja sukupuolten välillä. Miesten kohdalla koulutus korreloi kuvien tunnistamiseen: mitä korkeampi koulutus miehillä oli, sen paremmin aidot kuvat tunnistettiin tekoälyn tekemistä. Vastaavaa ei löytynyt naisten otoksessa. Lisäksi havaittiin, että miehet tunnistivat deepfake-videot hieman naisia paremmin. Erot olivat kuitenkin niin pieniä, että tuloksista ei voida tehdä johtopäätöksiä.
Tutkimuksessa selvisi, että Euroopan laajuisen NIS 2 -direktiivin voimaantulosta ja ISO 27001 -standardista huolimatta yritykset eivät ole riittävän hyvin valmistautuneet kyberhyökkäyksiin ja erityisesti deepfake-huijauksiin. Vastaavasti yksittäiset ihmiset ovat luottavaisia eri medioissa tuleviin tallenteisiin eivätkä osaa epäillä niiden aitoutta. Tutkimuksen perusteella suositellaan, että yritykset nostaisivat valmiuksiaan deepfake-huijauksia vastaan panostamalla sekä teknologisiin ratkaisuihin että kouluttamalla henkilöstöään. Vastaavasti tavallisten kansalaisten ymmärrystä ylipäätään kyberrikoksiin ja erityisesti deepfake-huijauksiin tulee nostaa merkittävästi. Deepfake-huijaukset aiheuttavat merkittäviä rahallisia tappioita yrityksille jo nyt ja menetyksien suuruus tulee kasvamaan tulevina vuosina huimasti.
Toimeksiantajan näkökulmasta työ onnistui nostamaan esiin useita konkreettisia ja tärkeitä havaintoja, kuten uusien teknologioiden luomien muutosten jatkuvan huomioimisen turvallisuuskoulutusten kehittämisessä. Kokonaisuutena tarkastellen toimeksiantajan mielestä työ onnistui vastaamaan jokaiseen asetettuun tutkimuskysymykseen hyvin. The purpose of this thesis was to picture the situation of cybercrime and especially deepfake scams in 2024, and how they represent one form of mass crime. The purpose was also to find out the protection and defense methods against cybercrimes in general and deepfake scams in particular. The thesis assessed how well companies are prepared to defend themselves against cybercrimes and how well the European level NIS 2 directive and ISO 27001 standard define policies for companies against deepfakes. The thesis also examined how easy it is to make deepfake and how easy it is to recognize one made by artificial intelligence. The client of the thesis was the National Cyber Security Center.
The knowledge base of the thesis consists of the history of cybercrime, the most important types of cybercrime and the technologies used to create and protect companies and individuals against deepfakes. The thesis is mainly theoretical, and it also includes a concise functional part. The functional part includes an empirical test, where randomly selected people tried to identify genuine media from deepfakes. The collected data was analyzed using basic statistical methods and data analysis. The other functional part is expert interviews of cybercrimes.
The empirical experiment showed minor differences between the genders. In males, the higher the education, the better they recognized the real pictures compared to the ones made by artificial intelligence. There was no similar finding among females. In addition, it was found that in general males recognized deepfake videos slightly better than females. However, the differences are so minor, that no overall conclusions can be made.
The research found that despite of the coming European-wide NIS 2 directive and the ISO 27001 standard, companies are not sufficiently prepared for cyberattacks and especially deepfake scams. At the same time, individual people are confident that they recognize from media whether the content is real or fake. Based on this thesis, it is recommended that companies increase their capabilities against deepfake scams by investing in both technological solutions and training their personnel. Accordingly, ordinary citizens' understanding in general of cybercrimes and in particular deepfake scams, must be increased significantly. Deepfake scams are already causing major financial losses to companies, and the size of the losses will grow exponentially in the coming years.
From the client's point of view, the work managed to highlight several concrete and important findings, such as the constant consideration of changes created by new technologies in the development of safety training. As whole, in the opinion of the client, the work managed to answer every research question well.
Opinnäytetyön tietopohja koostuu kyberrikollisuuden historiasta, eri kyberrikollisuuden keskeisimmistä rikostyypeistä ja deepfakejen luomiseen ja suojautumiseen käytetyistä teknologioista. Valittu menetelmä on tutkimuksellinen ja työ pitää sisällään myös suppean toiminnallisen osuuden. Toiminallisen osuuden testiosuudet kerättiin empiirisen tutkimuksen avulla, jossa testattavat henkilöt pyrkivät tunnistamaan aidot mediat deepfakeista. Tämä kerätty aineisto analysoitiin käyttämällä tilastollisen analysoinnin perusmenetelmiä. Toinen toiminallinen osuus työssä koostuu Kyberturvallisuuskeskuksen asiantuntijoiden haastattelusta.
Empiirisen kokeen tuloksena havaittiin pieniä eroja sukupuolten välillä. Miesten kohdalla koulutus korreloi kuvien tunnistamiseen: mitä korkeampi koulutus miehillä oli, sen paremmin aidot kuvat tunnistettiin tekoälyn tekemistä. Vastaavaa ei löytynyt naisten otoksessa. Lisäksi havaittiin, että miehet tunnistivat deepfake-videot hieman naisia paremmin. Erot olivat kuitenkin niin pieniä, että tuloksista ei voida tehdä johtopäätöksiä.
Tutkimuksessa selvisi, että Euroopan laajuisen NIS 2 -direktiivin voimaantulosta ja ISO 27001 -standardista huolimatta yritykset eivät ole riittävän hyvin valmistautuneet kyberhyökkäyksiin ja erityisesti deepfake-huijauksiin. Vastaavasti yksittäiset ihmiset ovat luottavaisia eri medioissa tuleviin tallenteisiin eivätkä osaa epäillä niiden aitoutta. Tutkimuksen perusteella suositellaan, että yritykset nostaisivat valmiuksiaan deepfake-huijauksia vastaan panostamalla sekä teknologisiin ratkaisuihin että kouluttamalla henkilöstöään. Vastaavasti tavallisten kansalaisten ymmärrystä ylipäätään kyberrikoksiin ja erityisesti deepfake-huijauksiin tulee nostaa merkittävästi. Deepfake-huijaukset aiheuttavat merkittäviä rahallisia tappioita yrityksille jo nyt ja menetyksien suuruus tulee kasvamaan tulevina vuosina huimasti.
Toimeksiantajan näkökulmasta työ onnistui nostamaan esiin useita konkreettisia ja tärkeitä havaintoja, kuten uusien teknologioiden luomien muutosten jatkuvan huomioimisen turvallisuuskoulutusten kehittämisessä. Kokonaisuutena tarkastellen toimeksiantajan mielestä työ onnistui vastaamaan jokaiseen asetettuun tutkimuskysymykseen hyvin.
The knowledge base of the thesis consists of the history of cybercrime, the most important types of cybercrime and the technologies used to create and protect companies and individuals against deepfakes. The thesis is mainly theoretical, and it also includes a concise functional part. The functional part includes an empirical test, where randomly selected people tried to identify genuine media from deepfakes. The collected data was analyzed using basic statistical methods and data analysis. The other functional part is expert interviews of cybercrimes.
The empirical experiment showed minor differences between the genders. In males, the higher the education, the better they recognized the real pictures compared to the ones made by artificial intelligence. There was no similar finding among females. In addition, it was found that in general males recognized deepfake videos slightly better than females. However, the differences are so minor, that no overall conclusions can be made.
The research found that despite of the coming European-wide NIS 2 directive and the ISO 27001 standard, companies are not sufficiently prepared for cyberattacks and especially deepfake scams. At the same time, individual people are confident that they recognize from media whether the content is real or fake. Based on this thesis, it is recommended that companies increase their capabilities against deepfake scams by investing in both technological solutions and training their personnel. Accordingly, ordinary citizens' understanding in general of cybercrimes and in particular deepfake scams, must be increased significantly. Deepfake scams are already causing major financial losses to companies, and the size of the losses will grow exponentially in the coming years.
From the client's point of view, the work managed to highlight several concrete and important findings, such as the constant consideration of changes created by new technologies in the development of safety training. As whole, in the opinion of the client, the work managed to answer every research question well.